Исследователи из Агентства перспективных оборонных исследований Министерства обороны США представят в сентябре новую программу, которая призвана защитить военные, общедоступные и частные корпоративные сети от распределенных атак, направленных на отказ в обслуживании (Distributed Denial of Service, DDoS).
Потребность в новых средствах защиты очевидна. Число DDoS-атак в первом квартале 2015 года выросло по сравнению с аналогичным периодом прошлого года более чем в два раза. Согласно отчету, опубликованному недавно Akamai Technologies, атаки стали более опасными, а мощность многих из них уже превышает 100 Гбит/с.
В этой связи растет необходимость в фундаментально новых способах защиты, которые, в отличие от существующих, эволюционно развивающихся методов, обеспечивали бы дополнительную устойчивость при различных условиях.
Программа DARPA, получившая название Extreme DDoS Defense (XD3), направлена на:
- пресечение DDoS-атак за счет физического или логического распределения ресурсов, затрудняющего злоумышленникам поиск цели;
- маскировку характеристик и поведения этих ресурсов с целью запутать неприятеля и ввести его в заблуждение;
- снижение эффективности атак, сумевших преодолеть другие средства защиты, путем использования на оконечных узлах (критически важных серверах) технологий адаптивного подавления.
Как утверждают в DARPA, существующие средства защиты от DDoS-атак, как правило, представляют собой комбинацию сетевых фильтров, увода трафика и «очистки» или репликации хранимых данных (или логических точек подключения, используемых для получения доступа к данным) с целью «обескровить» наиболее мощные атаки или же предоставить легитимным пользователям альтернативные варианты доступа. Однако нынешние подходы во многом не отвечают предъявляемым к ним требованиям.
- Реакция на DDoS-атаки оказывается слишком медленной и требует ручного управления, на диагностику и определение правил фильтрации зачастую уходит несколько часов. Между тем в военных системах связи продолжительность сбоев не должна превышать нескольких минут.
- DDoS-атаки небольшой мощности чрезвычайно сложно идентифицировать и блокировать с использованием встроенных технологий распознавания. Даже при обнаружении мощной атаки встроенные средства фильтрации ищут компромисс между желанием полностью заблокировать вредоносный трафик и необходимостью «не навредить» легитимным коммуникациям (то есть максимизировать число корректных срабатываний и минимизировать число срабатываний ложных).
- Технологии, основанные на проверке потоков данных, которые проходят через канал, сложно применять при наличии шифрованных туннелей. Кроме того, возникают вопросы масштабируемости, поскольку пропускная способность сетей постоянно увеличивается.
- Защитные методы должны быть применимы к транзакционным сервисам, работающим в реальном времени, а также к облачным вычислениям. Технологий, которые оказываются полезны только для защиты хранимых и распространяемых квазистатических данных, уже недостаточно.